Sujet Précédent Sujet Suivant

Help RelevantKnowledge et autres parasites

Résolu/Fermé
SPЭCTЯE Messages postés 27 Date d'inscription jeudi 2 septembre 2010 Statut Membre Dernière intervention 19 juillet 2011 - 2 sept. 2010 à 17:53
 Utilisateur anonyme - 27 sept. 2010 à 04:22
Bonjour,

j'ai un ecran bleu qui apparait quand je tente de le désinstaller et ya une sorte de comptage (1,2,3...) c'est ecris mémoire je sait plus quoi, donc je redemarre
j'ai aussi d'autres saloperies mais je ne sais pas ce que c'est ni comment les supprimer, ce qui est sur c'est que c'est superflu et ralentissent bcp la bécane
j'utilise Avast mais n'a rien detecté

voici le rapport Hijackthis :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57: VIRUS ALERT!, on 02/09/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\f6d833ac1df1deba394bcc36d01871\0122ad\Blue Coat K9 Web Protection\k9filter.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\PromptService.exe
C:\WINDOWS\system32\RunDll32.exe
C:\program files\relevantknowledge\rlvknlg.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Boudj\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: run=
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [PromptService] C:\WINDOWS\PromptService.exe
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TaskMngr] wscript.exe "C:\Program Files\Fichiers communs\ComObject\liveupdate.js"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RelevantKnowledge] C:\program files\relevantknowledge\rlvknlg.exe -boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] D:\programes logiciels\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] D:\programes logiciels\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Orbit.lnk = D:\Program Files\Orbitdownloader\orbitdm.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/...
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} - http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Blue Coat K9 Web Protection (bckwfs) - Blue Coat Systems, Inc. - C:\f6d833ac1df1deba394bcc36d01871\0122ad\Blue Coat K9 Web Protection\k9filter.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Service Google Update (gupdate1ca033aef81ae20) (gupdate1ca033aef81ae20) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PDLP - Unknown owner - C:\Program Files\PDLP\pdlp.exe (file missing)
O23 - Service: PCTimeWatch (PTWsvc) - PLJ Soft - C:\Program Files\MainSoft\PC TimeWatch\PTWsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

56 réponses

Réponse 1 / 56
Utilisateur anonyme
Modifié par VIRUS-C-C le 2/09/2010 à 18:03
Salut

* Bienvenue sur CCM !
* N'ouvre pas d'autres sujets pour le même problème >> sur ce forum ou sur un autre
* Ensemble nous allons essayer de régler ton problème .



1)* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

* Ad-Remover permet d'éliminer proprement les publiciels vérolés, « adware » en anglais.
* Affichant de la publicité en échange d'un service gratuit,
* certains d'entre eux contiennent des logiciels espions violant votre vie privée numérique tout en modifiant le comportement de ton système.

ICI >>AD-Remover

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

* Double-clique sur l'icône Ad-remover située sur ton Bureau.
* Sur la page, clique sur le bouton « Nettoyer »
* Confirme l'opération
* Poste le rapport qui apparaît à la fin.
* (Le rapport est sauvegardé aussi sous C:\Ad-report.)
* (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


2)* Télécharge ZHPDiag (de Nicolas coolman)

* ZHPDiag est un outil de diagnostic (Réalisé par Nicolas Coolman) .
Le logiciel permet d'effectuer un diagnostic rapide et complet de son système d'exploitation plus complet qu un rapport d'HijackThis
Il scrute ta Base de Registre et énumère les zones sensibles qui sont susceptibles d'être infectées.

ICI >> ZHPDiag (de Nicolas coolman)

* Une fois le téléchargement achevé,
* double clique sur ZHPDiag.exe et suis les instructions.
* /!\Utilisateurs de Windows Vista et Windows 7
* >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
* Laisse toi guider lors de l'installation,
* coche >> créer une icône sur le bureau
* il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


* Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster ici pour que je puisse voir le rapport



en dernier


3) *Télécharges Malwarebytes' (mbam)

* Logiciel de désinfection généraliste , il peut détecter et supprimer les logiciels malveillants .

ICI >> Malwarebytes' (mbam)

* installes + mise a jour

* Lances--> Malwarebytes (MBAM)
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
* puis "Rechercher"
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
* S'il t' es demandé de redémarrer, clique sur "oui "
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici
!!! Ne pas vider la quarantaine de MBAM sans avis !!!
* Un tutoriel est à ta disposition sur ce site
Tutoriel MalwareBytes





Membre Contributeur sécurité CCM
Windows Vista // Windows XP
0
Réponse 2 / 56
SPЭCTЯE Messages postés 27 Date d'inscription jeudi 2 septembre 2010 Statut Membre Dernière intervention 19 juillet 2011
3 sept. 2010 à 15:15
Salut et merci pour la réponse

j'ai fait ce que tu m'as demandé mais il ya un hic

donc j'ai commencé par les deux scan dont voici les rapports:
AD-R > http://www.cijoint.fr/cjlink.php?file=cj201009/cijpku8WhI.txt
ZHPDiag > http://www.cijoint.fr/cjlink.php?file=cj201009/cijZ0pda4A.txt

ensuite je me suis déconnecté et en revenant je n'ai plus trouvé RelevantKnowledge (il a du etre desinstallé par un autre utilisateur) mais j'ai fais quand même un nettoyage avec Mbam (qui a trouvé RelevantK..), seulement voilà j'ai du arreter la procedure après 2h car il remuait un fichier depuis plusieurs minutes, qui s'est avéré etre "endommagé et illisible" et au redemarrage "unité d'allocation non valide..."
voici le rapport Mbam :
http://www.cijoint.fr/cjlink.php?file=cj201009/cij4OOA4wX.txt

il y a toujours des fichiers en quarentaine

mes questions sont :
1. coment continuer? (je dois tout refaire ou seulement un nettoyage Mbam?)
2. est-ce normal qu'il y ai autant de sessions d'utilisateurs (rapport ZHP-D) alors que normalement y en a 5 seulement?
0
Réponse 3 / 56
Utilisateur anonyme
Modifié par VIRUS-C-C le 3/09/2010 à 18:03
Salut


Tu as 9 utilisateurs sur ce PC


fais ce qui suit

1) * Désactive ton Antivirus

*Regarde >> Désactiver les protections résidentes

Désactiver les protections résidentes


* Télécharge Navilog1

*Navilog1 est un logiciel permettant de désinfecter les machines affectées par :
- EGDAccess- Navipromo- Instant Access- Magic.control

ICI >> Navilog1
* Déconnectes toi et fermes toutes applications en cours
* Windows7/Vista ==>un clic droit dessus et dans le menu contextuel choisssez "Exécuter en tant qu'administrateur".
* Double clique sur Navilog1.exe pour lancer l' installation.
* Une fois l' installation terminée, le fix s' exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider et au menu principal,
* choisis >> Mode 1(recherche/Désinfection) =>et valide.
* Patiente jusqu' au message : " Analyse terminée le ..."
* Appuie sur une touche comme demandé, le Bloc-notes va s' ouvrir.
* Copie-colle l' intégralité du rapport ici et referme le Bloc-notes.
(Le rapport est en outre sauvegardé à la racine du disque : fixnavi.txt)

* N oublies de réactiver ton Antivirus


@+


Membre Contributeur sécurité CCM
Windows Vista // Windows XP
0
Réponse 4 / 56
SPЭCTЯE Messages postés 27 Date d'inscription jeudi 2 septembre 2010 Statut Membre Dernière intervention 19 juillet 2011
3 sept. 2010 à 16:05
hello

n'y aurait il pas un autre site pour telecharger navilog, car celui-ci est bloqué par K9 que je ne peux pas desactiver pour l'instant... ?
merci

ps: je ne sais pas d'ou viennent ces utilisateurs: IWAM_MS, IUSR_MS, HsUser_rOw6bX7VRcT, HelpAssistant, ASPNET, et pendant que j'y suis peux tu supprimer les autres noms de ton msg stp merci :p
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 56
Utilisateur anonyme
Modifié par VIRUS-C-C le 3/09/2010 à 18:08
Re

j ai modifié mon message au sujet des noms

pour Navilog fais ainsi




1) Démarre en Mode sans échec avec prise en charge réseau
fais ainsi

Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau
puis tape entrée.
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
(Si F8 ne marche pas utilise la touche F5)

tutoriel

>>Démarrer Windows en Mode Sans Échec


Toujours en >> Mode sans échec avec prise en charge réseau

2) * Télécharge Navilog1

*Navilog1 est un logiciel permettant de désinfecter les machines affectées par :
- EGDAccess- Navipromo- Instant Access- Magic.control

ICI >> Navilog1
* Déconnectes toi et fermes toutes applications en cours
* Windows7/Vista ==>un clic droit dessus et dans le menu contextuel choisssez "Exécuter en tant qu'administrateur".
* Double clique sur Navilog1.exe pour lancer l' installation.
* Une fois l' installation terminée, le fix s' exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider et au menu principal,
* choisis >> Mode 1(recherche/Désinfection) =>et valide.
* Patiente jusqu' au message : " Analyse terminée le ..."
* Appuie sur une touche comme demandé, le Bloc-notes va s' ouvrir.
* Copie-colle l' intégralité du rapport ici et referme le Bloc-notes.
(Le rapport est en outre sauvegardé à la racine du disque : fixnavi.txt)





Membre Contributeur sécurité CCM
Windows Vista // Windows XP
0
Réponse 6 / 56
SPЭCTЯE Messages postés 27 Date d'inscription jeudi 2 septembre 2010 Statut Membre Dernière intervention 19 juillet 2011
3 sept. 2010 à 18:28
ok ty
je vais faire en mode sans echec

en attendant j'ai fait scanner un disque amovible avec MBAM et Avast désactivé, résultat: tout une horde de trojan dans le disque dur ?!:s
voici le rapport



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4532

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03/09/2010 16:30:11
mbam-log-2010-09-03 (16-30-11).txt

Type d'examen: Examen complet (F:\|)
Elément(s) analysé(s): 182456
Temps écoulé: 15 minute(s), 44 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 23

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Visicom Media (Adware.KeenValue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\privacy_danger (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\images (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\privacy_danger\index.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\images\capt.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\images\danger.jpg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\images\down.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\images\spacer.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Boudj\Favoris\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\Boudj\Favoris\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\Boudj\Favoris\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Program Files\outlook\p.zip (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\cmd.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\msnav32.ax (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\netstat.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\ping.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\regedit.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\taskkill.com (Worm.P2P) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\tasklist.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\tracert.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\winpfz33.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\zxdnt3d.cfg (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\zxdnt3d.cfg. (Adware.ZenoSearch) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temp\1\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temp\2\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 7 / 56
Utilisateur anonyme
3 sept. 2010 à 18:31
Re

fais Navilog >> comme d'écris et on continue

@+
0
Réponse 8 / 56
SPЭCTЯE Messages postés 27 Date d'inscription jeudi 2 septembre 2010 Statut Membre Dernière intervention 19 juillet 2011
3 sept. 2010 à 18:52
re

ça marche pas en mode sans echec (k9 bloque la connection)

si il est hebergé quelque part, tu pourrais passer le lien en MP?
a+
0
Utilisateur anonyme
3 sept. 2010 à 19:19
essayes

Navilog

en Mode normal ou Mode sans Echec

>> VIRUS-C-C.com


* Déconnectes toi et fermes toutes applications en cours
* Windows7/Vista ==>un clic droit dessus et dans le menu contextuel choisssez "Exécuter en tant qu'administrateur".
* Double clique sur Navilog1.exe pour lancer l' installation.
* Une fois l' installation terminée, le fix s' exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider et au menu principal,
* choisis >> Mode 1(recherche/Désinfection) =>et valide.
* Patiente jusqu' au message : " Analyse terminée le ..."
* Appuie sur une touche comme demandé, le Bloc-notes va s' ouvrir.
* Copie-colle l' intégralité du rapport ici et referme le Bloc-notes.
(Le rapport est en outre sauvegardé à la racine du disque : fixnavi.txt)
0
SPЭCTЯE Messages postés 27 Date d'inscription jeudi 2 septembre 2010 Statut Membre Dernière intervention 19 juillet 2011
3 sept. 2010 à 19:26
ah oui ça fonctionne en mode normal
mais on dirait que K9 ne fonctionne plus ...
bon je vais telecharger
merci
0
Réponse 9 / 56
Utilisateur anonyme
3 sept. 2010 à 19:16
Re

essayes en mode normal ou sinon en Mode sans Echec

>> http://www.megaupload.com/?d=W2D5OSA3


* Déconnectes toi et fermes toutes applications en cours
* Windows7/Vista ==>un clic droit dessus et dans le menu contextuel choisssez "Exécuter en tant qu'administrateur".
* Double clique sur Navilog1.exe pour lancer l' installation.
* Une fois l' installation terminée, le fix s' exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider et au menu principal,
* choisis >> Mode 1(recherche/Désinfection) =>et valide.
* Patiente jusqu' au message : " Analyse terminée le ..."
* Appuie sur une touche comme demandé, le Bloc-notes va s' ouvrir.
* Copie-colle l' intégralité du rapport ici et referme le Bloc-notes.
(Le rapport est en outre sauvegardé à la racine du disque : fixnavi.txt)
0
Réponse 10 / 56
SPЭCTЯE Messages postés 27 Date d'inscription jeudi 2 septembre 2010 Statut Membre Dernière intervention 19 juillet 2011
3 sept. 2010 à 19:44
oui ça marche...
c'est K9 qui ne marche plus (normalement il bloque certains sites)


voici le rapport:

Fix Navipromo version 4.0.9 commencé le 03/09/2010 18:25:55,45

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 21.06.2010 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Processeur Intel Pentium III )
BIOS : Award Modular BIOS v6.00PG
USER : Boudj ( Administrator )
BOOT : Normal boot

Antivirus : avast! Antivirus 5.0.83886674 (Activated)


A:\ (USB)
C:\ (Local Disk) - FAT32 - Total:18 Go (Free:1 Go)
D:\ (Local Disk) - FAT32 - Total:9 Go (Free:3 Go)
E:\ (CD or DVD)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur




Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Boudj\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 03/09/2010 18:34:33,81 ***
0
Réponse 11 / 56
Utilisateur anonyme
3 sept. 2010 à 19:49
Re

ok

fais dans l ordre

1) * Lances Malwarebytes
* cliques sur => quarantaine=> selectionnes tout et supprimes tout ok !!
* si il te demande de redémarrer ==> redémarre ton PC
et

* tu refais avec Malwarebytes une analyse rapide + Suppression(s) de ce que tu trouveras éventuellement
* Poste le rapport


2) tu as Ccleaner

* Lances CCleaner.
* Ensuite, clique sur Options ==> Avancé et décoche la case
* Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures
* Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage.
* Ensuite clique sur l'icone==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées.
* Accepte la sauvegarde, de la BDR (base de registre )qu'il propose
* Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)




3) poste un nouveau log ZHPDiag


0
Réponse 12 / 56
SPЭCTЯE Messages postés 27 Date d'inscription jeudi 2 septembre 2010 Statut Membre Dernière intervention 19 juillet 2011
Modifié par SPЭCTЯE le 3/09/2010 à 21:46
Salut

c'est fait

Merci pour ta dispo :)

il y avait l'inscription "VIRUS ALERT" devant l'horloge, elle n'est plus :)
mais j'ai toujours un message d'erreur au demarrage qui ressemble à ça :

Windows script host
script : C:\Program Files\Common Files\ComObject\liveupdate.js
erreur: le fichier specifié est introuvable




sinon voici le rapport zhp : http://www.cijoint.fr/cjlink.php?file=cj201009/cijc3IDgWw.txt


et voici pour Mbam:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4532

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03/09/2010 19:43:31
mbam-log-2010-09-03 (19-43-31).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 193363
Temps écoulé: 29 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Administrateur\Local Settings\Temp\1\rkverify.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temp\1\rkinstall.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temp\2\rkverify.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temp\2\rkinstall.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
0
Réponse 13 / 56
Utilisateur anonyme
4 sept. 2010 à 04:40
Salut


1) Télécharge The Avenger par Swandog46 sur ton Bureau:

ICI >> The Avenger


* Click sur Avenger.zip pour ouvrir le fichier

* Extraire avenger.exe sur votre bureau

* Maintenant, lance The Avenger en cliquant sur son icône du bureau

* Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):



Files to delete:
c:\program files\relevantknowledge\rlvknlg.exe



* Colle ce texte (Ctrl+V) dans le cadre :Input script here

* Appuie sur Execute

* Le pc va redémarrer
Si le rapport ne s'affiche pas, il se trouve dans C:\ avenger


ensuite lis bien



2) * Télécharge Defogger (de jpshortstuff) sur ton Bureau
ICI >> Defogger (de jpshortstuff)
* Lance le
* Pour Windows Vista et Windows 7,
* faire un clic droit et >> Exécuter en tant qu'administrateur.
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* PS >> Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection(antivirus , antispyware )pour utiliser ce programme/!\


3) * Télécharge ComboFix (de sUBs) .
* sur ton bureau et pas ailleurs

* ComboFix est un programme, créé par sUBs, qui recherche sur votre ordinateur certains nuisibles,
et qui, s'il les trouve, essaie de nettoyer ces infections automatiquement.


* ICI >> ComboFix (de sUBs)
* Ferme toutes les fenêtres ouvertes

/!\ Déconnecte-toi du net/!\

* Double clique >> sur ComboFix.exe afin de le lancer
* sous Windows7/ Vista --> Ne pas oublier l'élévation des privilèges
* (Clic droit sur ComboFix.exe, puis sur Exécuter en tant qu'administrateur dans le menu déroulant.)
* Tapes sur la touche1 pour démarrer le scan et suis les instructions indiquées par combofix.

** Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.

** si il te propose de l'installer remets provisoirement internet

* /!\ Déconnecte-toi du net aprés l installation /!\



- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. /!\
/!\ (ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)/!\

* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

0
SPЭCTЯE Messages postés 27 Date d'inscription jeudi 2 septembre 2010 Statut Membre Dernière intervention 19 juillet 2011
4 sept. 2010 à 14:52
bonjour,
j'ai le meme probleme qu'hier pour telecharger The Avenger a cause de K9, j'ai essayé en mode sans echec puis en normal mais ça ne marche pas, un upload donc serait le bienvenu, dsl A+
0
Réponse 14 / 56
Utilisateur anonyme
4 sept. 2010 à 16:57
Salut

The Avenger

>>Avenger.com

@+
0
Réponse 15 / 56
SPЭCTЯE Messages postés 27 Date d'inscription jeudi 2 septembre 2010 Statut Membre Dernière intervention 19 juillet 2011
Modifié par SPЭCTЯE le 4/09/2010 à 21:56
Salut,
voici les rapports
ps: -je n'ai pas fait de mise a jour pour combofix car je pensais qu'il fallait couper la connexion, et je n'ai pas pu me reconnecter quand il me l'a demandé...
-et y a de nouveaux dossiers dans C/:... de type "FOUND.001"... entre autres
A vous !

Combofix: http://www.cijoint.fr/cjlink.php?file=cj201009/cijOdQOrM4.txt

Defogger:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:43 on 04/09/2010 (Boudj)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-




The Avenger:


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "c:\program files\relevantknowledge\rlvknlg.exe"
Deletion of file "c:\program files\relevantknowledge\rlvknlg.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.
0
Réponse 16 / 56
Utilisateur anonyme
5 sept. 2010 à 00:50
Salut

lis bien


1) Affiche les fichiers et dossiers cachés ainsi

Cliques ==>Démarrer ==>Poste de travail==>==> Outils ==> Option des dossiers onglet Affichage

ensuite ==>

Active le bouton : Afficher les Fichiers et dossiers cachés
Décoche ==>Masquer les fichiers protégés du système d'exploitation (recommandé)
Décoche ==> Masquer les extensions dont le type est connu
clique sur ==> Appliquer et ==> Ok
pour valider les changements


2) Fais analyser le(s) fichier(s) suivants sur Virustotal :

>> Virus Total


* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :


c:\windows\system32\WinFPdrv.sys



* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat

tutoriel pour t aider >> Tutoriel VirusTotal


ensuite


3)Ensuite fais de même avec et ce un par et poste à chaque fois le rapport

c:\windows\system32\FPService.exe

et aussi



c:\windows\system32\settingsFP.$dk




tu termines avec

4) Rétablis l'affichage des fichiers et dossiers cachés comme ceci
Cliques ==>Démarrer ==>Poste de travail==>==> Outils ==> Option des dossiers onglet Affichage

Active le bouton ==> Ne pas afficher les Fichiers et dossiers cachés
Coche ==> Masquer les fichiers protégés du système d'exploitation (recommandé)
Coche ==> Masquer les extensions dont le type est connu
clique sur ==> Appliquer et ==> Ok
pour valider les changements








Membre Contributeur sécurité CCM
Windows Vista // Windows XP
0
Réponse 17 / 56
SPЭCTЯE Messages postés 27 Date d'inscription jeudi 2 septembre 2010 Statut Membre Dernière intervention 19 juillet 2011
5 sept. 2010 à 03:11
Hello

Aucun de ces fichiers n'existent dans ce repertoire, di dans le dossier parent
A+
0
Réponse 18 / 56
Utilisateur anonyme
5 sept. 2010 à 07:19
Salut

ces fichiers sont bien présents

fais ainsi ,lis bien et affiche bien les les fichiers et dossiers cachés comme d'écris


lis bien


1) Affiche les fichiers et dossiers cachés ainsi

Cliques ==>Démarrer ==>Poste de travail==>==> Outils ==> Option des dossiers onglet Affichage

ensuite ==>

Active le bouton : Afficher les Fichiers et dossiers cachés
Décoche ==>Masquer les fichiers protégés du système d'exploitation (recommandé)
Décoche ==> Masquer les extensions dont le type est connu
clique sur ==> Appliquer et ==> Ok
pour valider les changements


2) Fais analyser le(s) fichier(s) suivants sur Virustotal :

>> Virus Total


* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

PS * *Sinon >> Colle directement le chemin des fichiers ,
dans l'espace>> " Parcourir" :




c:\windows\system32\WinFPdrv.sys



* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat

tutoriel pour t aider >> Tutoriel VirusTotal


ensuite


3)Ensuite fais de même avec et ce un par et poste à chaque fois le rapport

c:\windows\system32\FPService.exe

et aussi



c:\windows\system32\settingsFP.$dk




tu termines avec

4) Rétablis l'affichage des fichiers et dossiers cachés comme ceci
Cliques ==>Démarrer ==>Poste de travail==>==> Outils ==> Option des dossiers onglet Affichage

Active le bouton ==> Ne pas afficher les Fichiers et dossiers cachés
Coche ==> Masquer les fichiers protégés du système d'exploitation (recommandé)
Coche ==> Masquer les extensions dont le type est connu
clique sur ==> Appliquer et ==> Ok
pour valider les changements



0
Réponse 19 / 56
SPЭCTЯE
5 sept. 2010 à 15:46
Salut,
le chemin n'est pas collable dans l'espace Parcourir, il faut d'abord cliquer sur parcourir puis coller.
et ces fichiers ne sont pas visibles meme avec la procedure d'affichage et démasquage , mais bien présents
je n'ai pas trouvé de "deux fleches" dans la fenetre de Virus total, j'ai mis les liens :



http://www.virustotal.com/file-scan/report.html?id=26a0bb3ee7a51e0e6275b3d2d186718b31a1c31eab4328582b83b62b27219994-1283693494

http://www.virustotal.com/file-scan/report.html?id=2a85c12445b576aa3d52b7881210676561cf230a80d32066c5ae257f206bd3aa-1283693573

http://www.virustotal.com/file-scan/report.html?id=ce379c441c68d2906489900edd040de4b34e5ca22975fda13af1cdb571e2f4f6-1283693716

A vous!
0
Réponse 20 / 56
Utilisateur anonyme
5 sept. 2010 à 16:06
Salut

1) refais

* Lances Malwarebytes
* cliques sur => quarantaine=> selectionnes tout et supprimes tout ok !!
* si il te demande de redémarrer ==> redémarre ton PC
et

* tu refais avec Malwarebytes une analyse rapide + Suppression(s) de ce que tu trouveras éventuellement
* Poste le rapport

ensuite

2) * Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.


* logiciel de diagnostic
* Outil qui scanne en profondeur le système, fournissant un rapport plus poussé de l'état du système que le rapport Hijackthis.

>> Random's System Information Tool (RSIT) par random/random

* Double-clique sur RSIT.exe afin de lancer RSIT.
* Sous ==> Windows7/ Vista.
* Clic droit sur l'icône RSIT.exe , puis sur Exécuter en tant qu'administrateur dans le menu déroulant,afin de lancer RSIT.
* Clique sur Continue à l'écran Disclaimer.
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
* Poste le contenu de log.txt (<==qui sera affiché) ainsi que de info.txt (<==qui sera réduit dans la Barre des Tâches).
* Héberge les rapports un par un sur ce site,
cijoint.fr
* Copie/colle les liens générés ici

* Note : Les deux rapports sont également sauvegardés %systemroot%\rsit

Pour les rapports
* rends toi sur http://www.cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* les deux liens générés >> faut me les donner ici pour que je puisse voir les rapports


0

Discussions similaires

relevantknowledge
seven777 -
bea4915 -

36 réponses
Supprimer relevantknowledge
Michael_p -
Destrio5 -

16 réponses
TV se brouille lorsque une mobylette passe ...
antracith1984 -
photo -

9 réponses
Infecté par « Relevant Knowledge » entre autres) ?
Capdec -
Malekal_morte- -

15 réponses
parasites en reception TNT
louis15 -
bruno -

19 réponses